LINUX.ORG.RU

Клиент OpenVPN может закосить под сервер? о_О

 , ,


0

3

Читал на опеннете одну темку и наткнулся на такого персонажа.

Цитата: "' Кроме того, секурно настроить openvpn - тот еще рокетсайнс. Поскольку он основан на TLS, там возможно много довольно забавных атак. Например, знаешь ли ты что КЛИЕНТ может кроме всего прочего без спецмер с стороны клиентов закосить под СЕРВЕР? И соответственно, если на впн есть 20 клиентов, любой из 20 может забацать подставной сервер, выступив MITM. OpenVPN конечно пишет про это варнинг, но чтобы понять его смысл - надо хоть что-то понимать в PKI и TLS. "'

Фулл: http://www.opennet.ru/openforum/vsluhforumID3/104808.html#95

О чем он говорит вообще? Прав ли говорящий или вгоняет очередную дичь?

Бинарь у openvpn вроде как один, и поведение (клиент или сервер) настраивается конфигом или параметром CLI.

pztrn ★★★★
()

О чем он говорит вообще?

О том, что он рукожоп и не читал маны.

Во-первых, есть опция ns-cert-type. Но даже если без нее - чтобы закосить под сервер, нужно выписать серверный сертификат, имея ключ сертификата CA.

Pinkbyte ★★★★★
()

Если аутентификация осуществляется по RSA-ключам, то при некорректной конфигурации любой клиент может используя свой ключ представиться сервером и другие клиенты ему поверят. Конечно для этого надо ещё перехватить трафик между другими клиентами и сервером.

Legioner ★★★★★
()
Ответ на: комментарий от Pinkbyte
1) Берем клиентский сертификат и ключ, используем его для поднятия OpenVPN-сервера.
2) Удостоверяемся, что в клиентском конфиге нет опций ns-cert-type и remote-cert-tls.
3) Подключаемся клиентом к серверу из пункта 1, который с клиентскими сертификатами.
4) Все работает.

Правда, зависит еще от KU и EKU в сертификатах, а не только от ns-cert-type и remote-cert-tls.

ValdikSS ★★★★★
()
Ответ на: комментарий от ValdikSS

А, некорректная настройка. Да, не зная о том как работают сертификаты можно накосячить. С таким же успехом можно и postfix как open relay настроить, если не знать как правильно его готовить.

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.